Критическая уязвимость более 200 моделей рутеров

Monday, 22 Dec 2014

Более 200 моделей рутеров различных производителей, домашнего уровня и малого бизнеса,  подвержено критической  уязвимости, позволяющей удаленному кулхацкеру мониторить проходящий траф и перехватить администраторские права над устройством.

(more…)

VN:F [1.9.21_1169]
Rating: 2.9/10 (16 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 2 votes)

VMware bridged mode vs kerio vpn client

Monday, 11 Apr 2011

Забавная тут ситуевина приключилась с одним сервисом, который я настраивал для клиента. Поднимал Help Desk- первоначально на своей машине в виртуальном окружении VMware Workstation, после чего установил на клиентскую машину VMware Player и перенес машину. Надо отметить что виртуальная машина крутится под Cent OS, а сервер под Win 2003, так что никаких особых проблем не ожидалось.

Но в процессе запуска- выяснилось что машинка не подхватывает IP адрес по DHCP, при работе в bridged mode, а при попытке задать статический IP я получал ругань на тему того, что данный IP уже используется, при том что данный адрес был однозначно свободен. Озадачившись данной проблемой проверил на всякий случай фаервол винды, но как оказалось он был отключен. Поковырявшись в меру возможностей в серваке и vmware, решил не озадачивать клиентского админа, а переставил Player на Workstation и попробовал поднять виртуалку в таком варианте. Но проблема осталась той же самой, при этом когда я переключил сетки в NAT вариант-  поднимался внутренний IP и все начинало нормально шуршать.

В итоге обратился к админу с описанием проблемы и предположением о том, что какая то тулза препятствует нормальному прохождению пакетов, выступая видимо фаерволом. Поковырявшись, админ сказал что обнаружил что на серваке зачем то был установлен, тысячу лет назад, kerio vpn client, который он благополучно снес. После данной манипуляции все зашуршало прекрасно, так что причина крылась именно в kerio vpn client который видимо как любой ipsec клиент имеет встроенный фаервол у которого имеются свои взгляды на прохождение пакетов. У клиента от checkpoint, например, таких проблем замечено не было.

VN:F [1.9.21_1169]
Rating: 4.2/10 (17 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 4 votes)

Пространные рассуждения про VoIP трафик

Monday, 11 Apr 2011

Один из клиентов жадно захотел IP телефонию, в связи с чем начал понемногу рыть в этом направлении, но ощущение от знакомства с телефонизацией офиса по VoIP оказалось примерно такое же, как будто я заглянул в бездонный колодец, так что видимо ближайшие несколько недель у меня пройдут под эгидой SIP протокола.

Начну с того что я остановился сразу на платформе Asterisc, во первых потому что это наиболее популярный open-sourse, во-вторых потому что по данной платформе огромное количество полезной информации в интернете.
(more…)

VN:F [1.9.21_1169]
Rating: 3.7/10 (47 votes cast)
VN:F [1.9.21_1169]
Rating: +5 (from 9 votes)

Проблема с экспортом конфигурации на R65

Tuesday, 12 Oct 2010

Клиенты  попытались перенести шлюз Check Point R65 с одной машины на другую,  и получили не приятные проблемы в виде сообщения при попытке подтянуть конфигурацию с помощью утилиты upgrade_import.  Ошибка которую выводит консоль гласит: Error: Exported and imported machines are not cluster compatible.

Старый сервер однопроцессорный, второй двухпроцессорный.

Стали выяснять, оказалось что помимо R65 Adv Routing клиент устанавливает также HFA70, то есть получается что утилита upgrade_import на старой машине и новой различается версиями.  Собственно не смотря на поучения нашего продакта, который полез в глубины кластеризации шлюзов, посоветовал клиентам попробовать использовать одинаковые версии утилиты upgrade_import.

Сегодня получил ответ, что все прошло нормально и процедура экспорта старой конфигурации на новый сервер завершилась успешно.
Ставим галочку.

VN:F [1.9.21_1169]
Rating: 3.9/10 (54 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 10 votes)

Check Point UTM-1 130 vs Windows 2003

Friday, 24 Sep 2010

Пришла в контору партия новых устройств UTM-1 130, причем все как одна с битой прошивкой, которая не хочет работать. Такое ощущение, что на заводе Check Point залили на устройство стандартную прошивку, ибо в данный момент для R70 имеется две прошивы: для UMT 130 и для всех остальных устройств данного производителя. Так что встала необходимость их перепрошить.

Ну делается это довольно просто: скачиваем из usercenter прошивку, подключаем к usb портам внешний DVD, заходим в BIOS нажимая кнопку TAB, выбираем загрузку с сидюка и вуаля- заливаем новую операционку. Но тут как какое то проклятие- терминал пишет какие то кракозябры, и если настойчиво нажимать клавишу TAB, то экран попросту залипает. При нажатии же остальных клавиш нормально выводит загрузочное меню, которое является первым удобочитаемым рисунком. Пообщался в чате с тех поддержкой Check Point – они посоветовали открывать реквест на эту тему, ибо случай явно RMA.

Перепробовал 4 штуки различных терминалов от встроенного до SecureCRT- всюду одно и тоже. И тут решил вдруг проверить на чужой машине- надо заметить что я работаю под Windows 2003.  Втыкаю агрегат в XP- все работает, при включении отображается нормальный экран загрузки, нормально по TAB заходит в BIOS- вообщем все прекрасно и замечательно. Перекинул себе на машину XPшный гипертерминал, хотя он ничем не отличается от родного, попробовал на нем- таже самая картина- крокозябры вплоть до начала нормальной загрузки- первые нормальные строчки- это boot menu.

В связи с чем вывел, что устройство UTM-1 130 по каким то причинам, в начале загрузки, не дружит с серверной платформой Windows 2003  :-/ хотя быть может он не дружит с переходником RS232 на USB которым мне приходится пользоваться, ибо на моей машине нет com-порта.

VN:F [1.9.21_1169]
Rating: 3.6/10 (44 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 7 votes)

Шифрованный носитель Check Point Abra

Friday, 20 Aug 2010

Дали потестить одну из последних новинок компании Check Point, продукт под названием Abra. Решение представляет собой флеш носитель, емкостью 4 и 8Gb, с поддержкой аппаратного шифрования 256-битным AES. Но поскольку аппаратным шифрованием сейчас можно удивить только какого либо человека, очень далекого от безопасности и it вообще, то основной фишкой решения является то, что оно организует Secure virtual workspace, а проще говоря запускает защищенную, виртуальную копию установленной операционной системы Windows, которая работает как независимая система, отгороженная от имеющейся на машине комплексом безопасности, включающем в себя антивирус, фаервол и систему предотвращения вторжений. Abra поддерживает такие операционные системы как Windows 7/Vista/XP, пока правда только 32хитные версии. При старте системы Abra проверяет имеется ли в системе антивирус, какие актуальные патчи установлены и после этого сканирует операционную память на предмет обнаружения работы злонамеренного программного обеспечения. После этого, запускается диалог доступа к данным, заключающийся в воде пароля устанавливаемого при первичной инициализации устройства и если пароль введен корректно, то запускается виртуальное пространство, которое разрешает доступ только к определенным, установленной политикой, программам. Для ввода пароля используется виртуальная клавиатура, которая тем самым предотвращает перехват пароля кейлоггерами.Из запущенного пространства уже можно установить IPSec VPN соединение со своим шлюзом, и работать через него в своей сети. После установления VPN соединения клиент Abra подтягивает со шлюза политики локального фаервола и ips, которые будут использованы по умолчанию при следующем запуске системы. Также при установлении VPN соединения обновляется локальный антивирус Abra. В дополнение к этому клиент получает список разрешенного для использования программного обеспечения, но для использования это ПО должно быть установлено на машине, на которой запускается Abra. Эта политика версия-независима, то есть разрешив Microsoft office мы дадим пользователю возможность пользоваться любым, имеющимся в наличии офисом.

При работе пользователю блокируется доступ к локальному диску, так что пользоваться он может только файлами, хранящимися на флеш-носителе, или полученными по сети. Использование оперативной памяти разделено с компьютером, поэтому вирусы и другое злонамеренное ПО не способно проникнуть внутрь виртуальной системы, что предохраняет от угрозы заражения как сами файлы пользователя, так и его корпоративную сеть, с которой он установит защищенное соединение. И главное этот механизм работы не требует дополнительных лицензий, как например стандартная виртуальная машина, как для операционной системы, так и для используемого ПО. Во время работы виртуальное окружение создает защищенный канал доступа к установленному на компьютере ПО, организуя безопасную работу пользователя с разрешенным политиками безопасности программами.Принцип работы таков, что после успешного логина, в виртуальном окружении, запускается новая оболочка explorer.exe  и все остальные процессы запускаются по отношению к этому процессу как к родительскому, что и позволяет Abra контролировать выполнение приложений с безопасной среде. Все вызовы к приложениям перенаправляются к флеш драйву, то есть все приложения запускаемые внутри виртуальной системы работают внутри виртуальной файловой системы и реестра, находящихся на флеш-носителе, где они шифруются сразу в процессе записи на носитель.

Благодаря устройству Abra пользователь может получить доступ к своим файлам и корпоративной сети практически с любой машины, подпадающей под определение не доверенных узлов, не боясь нанести урон своей сети или данным хранимым на носителе. Также в случае потери, данные не станут доступны похитителям или людям, случайно нашедшим утерянный флеш-носитель, а ведь не секрет, что большинство громких утечек данных на западе были вызваны кражей или потерей ноутбуков. Более того, данное решение позволяет пользователю отказаться от стандартного ноутбука, который постоянно приходится носить с собой и который свои фактом присутствия, уже является целью для воров. С Abra весь функционала ноутбука помещается к кармане рубашки или джинсов, позволяя использовать мощности любого доступного пользователю компьютера, не задумываясь при этом о потенциальных угрозах которые может нести сторонний компьютер не подпадающий под используемые в компании политики безопасности. И тем самым для нас, это еще один лишний довод перед начальством за то, чтобы работать удаленно- из-за домашнего компьютера. ;)

VN:F [1.9.21_1169]
Rating: 3.7/10 (73 votes cast)
VN:F [1.9.21_1169]
Rating: +3 (from 19 votes)

Интересная инфа о Sofaware устройствах

Friday, 23 Jul 2010

Скинули факу по устройствам Sofaware Edge и Safe@Office, и там я обнаружил несколько интересных моментов, на которые обратил внимание:

Варианты прошивок для устройств Sofaware:
n8.1.37n.img  новая прошива для устройств нового поколения N-серии которое выгружается через GUI
x8.1.37x.img прошивка для устройств предыдущего поколения X-серии которое выгружается через GUI
8.1.37x.tftp прошивка для устройств предыдущего поколения X-серии которое выгружается через TFTP

Существуют ли какие нибудь специфические версии прошивок?
Версия 7.5.55_w6x.img имеет функционал WLAN-Client. Этот функционал будет введен в прошивке версии 9.
SofaWare предлагает специфическую прошивку по запросу, если клиенту требуется поддержка BGP

Имеются ли различия в прошивках с DSL-модемами
Да имеется отдельные прошики для версии аннеск А и аннекс В. Также существуют две версии прошивки SW2.0.*_pri.firm (primary) и SW2.0.*_sec.firm (secondary) которые идут в комплекте поставки. Первичное используется для загрузки устройство, а вторая создается при резервировании устройства и к нему откатываются в случае возврата к фабричным настройкам.

При использовании ADSL моделей необходимо сделать следующую процедуру, чтобы предотвратить попытку восстановления DSL сессии, которая происходит по умолчанию каждые 1 час 14 минут:
Идем по адресу нашего шлюза  https://my.firewall.
Далее идем по адресу Setup -> Tools -> кнопочка Command
В появившемся интерфейсе набираем  set port adsl auto-sra mode disable
Нажимаем Go

При управлении устройствами Edges из SmartCenter настоятельно не рекомендуется инсталить политики более чем на 10 устройств одновременно

Когда мигает индикатор PWR/SEC LED красным цветом, это означает что фаервол заблокировал какое либо соединение

Там же указано, что Sofaware действительно признает тот факт, что для управление устройством следует производить через IE, ибо Safari и Mozilla имеют проблемы работоспособности.

Существуют не явные страницы для диагностики устройства:

http://my.firewall/pop/Diagnostics.html

http://my.firewall/vpntopob.html  для старых версий (7.0.x и ниже) использовать http://my.firewall/vpntopo.html
https://my.firewall/dnstopo.html доступно для новых версий прошивок (с версии 7.5+)

http://my.firewall/Log.html

http://my.firewall/Ports.html

http://my.firewall/pub/test.html – не документированная страница на которой доступна служебная и лицензионная информация

SmartDefense как и следовало ожидать, отключить невозможно. Единственно что можно- минимизировать его работу путем выставления параметров его работы в None.  В случае центрального управления можно выставить настройку не распространять политику SmartDefense на этот шлюз. Для этого в объекте Edge необходимо пройти SmartDefense > Profile Assignment и включить галку Do not apply SmartDefense on this gateway

Существует специализированная дебажная прошивка, которая дает более богатый функционал логирования, путем запуска команды debug.  Также можно запустить с SmartCenter сервера, отредактировав файл SofawareLoader.ini , для чего найти строку DebugLevel в секции [LOG] и выставить её в параметр Debug или  Info. Для того чтобы запустить SofaWareLoader ручками необходимо в командной строке ввести fwm load -S -M -l41 policy_name.W <Edge>

Если при попытке соединения Edge со SmartCenter вываливается сообщение “Connection Refused: This UTM-1 Edge is not registered to the Service Center.” то следует проверить версию устройства в свойствах объекта на менеджмент сервере, чтобы они соответствовали действительной.

После инсталляции политики на менеджмент сервере Edge подхватывает политику спустя какое время, из-за того что устройства опрашивают менеджмент сервер на предмет обновленной политики, каждые 20 минут.

Полная версия в которой много информации по кластеризации устройств и использовании центрального менеджмента, можно найти по адресу:

http://www.cpug.org/forums/check-point-utm-1-edge-appliances/6341-utm-1-edges-faq.html

VN:F [1.9.21_1169]
Rating: 3.7/10 (43 votes cast)
VN:F [1.9.21_1169]
Rating: -1 (from 11 votes)